В феврале 2026 года аналитики Microsoft Threat Intelligence и Microsoft Defender Experts обнаружили атаку с помощью крипто-клиппера. Это была кампания, созданная для операционной системы Windows. Вредоносное ПО эксплуатирует держателей криптовалют посредством перехвата буфера обмена и поиска конфиденциальной информации о кошельках. Microsoft сообщила об этом в своем блоге.
Злоумышленники распространяют это вредоносное ПО в основном через вредоносные файлы ярлыков .lnk, распространяемые на USB-накопителях. Активация этого вредоносного кода приводит к запуску двух модулей. Один модуль распространяет вредоносное ПО по системам, а другой действует как клиппер и похититель информации. Microsoft Defender Antivirus идентифицирует угрозу как Trojan/CryptoBandits.A.
В отличие от большинства операций с вредоносным ПО, эта не требует использования установщика или каких-либо управляющих серверов, поскольку использует технологию Windows Script Host и ActiveX для запуска упакованного прокси-сервера Tor. Затем оно использует прокси-сервер SOCKS5 на зараженном компьютере и подключается к управляющим серверам, работающим через скрытые сервисы Tor.
Вредоносное ПО похищает информацию о кошельках и подменяет адреса
После заражения системы вредоносное ПО постоянно отслеживает содержимое буфера обмена и ищет сид-фразы, приватные ключи и адреса кошельков. Согласно данным Microsoft, вредоносное ПО нацелено именно на 12-словные и 24-словные сид-фразы, приватные ключи Bitcoin и приватные ключи Ethereum. Оно заменяет скопированные адреса кошельков на адреса, контролируемые злоумышленниками, прежде чем пользователи завершат свои транзакции.
Вредоносное ПО делает скриншоты и отправляет их через соединения Tor, что позволяет атакующим получать дополнительную информацию о балансах кошельков и активности пользователей. Кроме того, Microsoft заявила, что вредоносное ПО обладает возможностью удаленного выполнения кода, что дает злоумышленникам возможность отправлять дополнительные инструкции, обеспечивая при этом устойчивость за счет использования запланированных задач и шифрования вредоносных частей программы.
Исследователи выявили несколько индикаторов компрометации, включая подозрительное выполнение JavaScript, активность прокси localhost:9050, захват скриншотов с помощью PowerShell и поведение, связанное с мониторингом буфера обмена. Microsoft рекомендовала организациям отключить функции автозапуска, ограничить запуск скриптовых интерпретаторов и исполняемых файлов с USB-накопителей, а также отслеживать любую подозрительную активность, связанную с этим. Эта кампания вредоносного ПО подчеркивает продолжающийся рост использования криптовалют среди инвесторов и пользователей.
Главные новости о криптовалютах:
В Фонде Ethereum произошел очередной уход: Сяо-Вей Ван покидает пост
